Vadokrist
Lateinamerika war weiterhin der bevorzugte Boden für den Einsatz von Bankentrojanern. Eine solche Bedrohung, die seit mindestens 2018 aktiv ist und sich noch in der aktiven Entwicklung befindet, ist Vadokrist. Die Forscher analysierten den zugrunde liegenden Code des Vadokrist und stellten fest, dass er mehrere Merkmale mit mehreren anderen Trojaner-Bankiersfamilien aus der Region teilt, hauptsächlich Mekotio, Casbaneiro, Grandoreiro und Amavaldo. Dennoch unterscheiden sich Vadokrist durch verschiedene Merkmale von den anderen.
Der erste besondere Aspekt der Bedrohung ist die Aufnahme einer erheblichen Menge nicht verwendeten Codes in die Binärdateien. Das Ziel bestand höchstwahrscheinlich darin, die Wahrscheinlichkeit zu erhöhen, dass die Bedrohung nicht erkannt wird, und gleichzeitig die für die ordnungsgemäße Analyse des Codes erforderliche Zeit zu verlängern. Frühere Vadokrist-Versionen haben Zeichenfolgen ähnlich wie Casbaneiro in einer einzelnen Zeichenfolgentabelle gespeichert. Neuere Varianten enthalten jedoch mehrere Zeichenfolgentabellen, die jeweils mit einem anderen Ziel versehen sind.
Die zweite große Abweichung, die Vadokrist aufweist, betrifft die Datenerfassungsroutine. Die meisten lateinamerikanischen Bankentrojaner sammeln bei ihrer ersten Ausführung verschiedene Informationen über ihre Opfer, z. B. Computernamen und Windows-Betriebssystemversionen. Vadokrist sammelt nicht nur eine kleinere Teilmenge von Daten; Es erntet nur den Benutzernamen des Opfers, aber dies zu dem Zeitpunkt, an dem ein Angriff auf ein Finanzinstitut eingeleitet wird.
Die Backdoor-Funktionen von Vadokrist sind selbstverständlich. Die Bedrohung kann die Maus manipulieren und Tastatureingaben simulieren, eine Keylogger-Routine einrichten, beliebige Screenshots erstellen und das infizierte System neu starten. Es ist auch mit einer ziemlich hartnäckigen Methode ausgestattet, um zu verhindern, dass Benutzer auf bestimmte Websites zugreifen, indem der Webbrowser-Prozess direkt abgebrochen wird. Der Persistenzmechanismus der Bedrohung umfasst entweder die Generierung eines Ausführungsschlüssels oder die Freigabe einer LNK-Datei im Startordner.
Angriffsvektor
Vadokrist wird über eine Spam-E-Mail-Kampagne verbreitet. Opfer werden mit Köder-E-Mails angesprochen, die zwei beschädigte Dateianhänge enthalten - ZIP-Archive mit einem MSI-Installationsprogramm und ein CAB-Archiv. Die Angriffskette überspringt die Downloader-Phase, wobei Vadokrist direkt per E-Mail übermittelt wird.
Wenn der Benutzer das MSI-Installationsprogramm ausführt, findet er das CAB-Archiv und extrahiert seinen Inhalt auf die Festplatte. Anschließend wird eine JavaScript-Datei ausgeführt und eingebettet, mit der der Persistenzmechanismus festgelegt wurde. Das Skript startet das gefährdete System neu und führt beim Laden die Vadokrist-Malware selbst aus.
Die JavaScript-Datei verwendet eine neuartige Verschleierungsmethode. Sie missbraucht die Arbeitsweise des Kommaoperators in JavaScript, um die Lesbarkeit zu verringern und die Emulation erheblich zu vermeiden. Operationen, die den logischen AND-Operator verwenden, werden mit einer ähnlichen Technik verschleiert.
